Security beleid, ontwikkeling als security professional
Het is voor bedrijven belangrijk om goed getrainde specialisten in te kunnen zetten, die met een brede visie en kennis van de vele verschillende facetten van security beleid, de organisatie kunnen helpen een effectief programma voor informatiebeveiliging in te richten en te onderhouden.
Het werkveld van de information security professional is breed en bevat veel verschillende onderwerpen. Ingewikkelde organisatietheorie, complexe techniek, veranderkunde, risicomanagement, etc. Er komt veel bij kijken. Maar hoe breng je dit nu ook in de praktijk als professional?
Om de brug naar de praktijk te slaan, geven we studenten gedurende de opleiding opdrachten mee die zij moeten uitwerken in de eigen werkomgeving. Daarmee wordt er gedurende de opleiding gebouwd aan een zogenaamd ‘Policy House’. Dit moet uiteindelijk een samenhangend geheel van beleid, processen en procedures gaan vormen, over de diverse onderwerpen die tijdens de opleiding worden behandeld. De studenten worden daarmee uitgedaagd om de theorie ook in de praktijk te brengen bij de organisaties waar zij werkzaam zijn. Ze geven daarnaast ook direct invulling aan het verder vormgeven van deze onderwerpen bij hun organisaties. Hierdoor ontstaat er een echt ‘leer-werk traject’. Een win voor het bedrijf, want die krijgen hiermee een totaal overzicht in hun status op het security vlak.
Een security beleid passend bij missie en visie
De opdrachten volgen altijd na een lesdag en sluiten aan op het thema van die lesdag. Aan het begin van de opleiding zal na de lesdag over strategie bijvoorbeeld gevraagd worden om goed stil te staan bij visie, missie en strategie rondom informatiebeveiliging. Zijn deze eigenlijk wel helder binnen de organisatie? Sluiten ze aan bij de generieke visie, missie en strategie van de organisatie? Is dit er niet (en dat is vaak het geval), dan zal de opdracht zijn om dit te gaan formuleren voor de organisatie en daarbij aansluiting te zoeken met de bestaande visie en missie doelstellingen van de organisatie (die zijn er vaak wel), de bedrijfscultuur, de verwachtingen van verschillende stakeholders en context.
Security goed borgen
Een opdracht met een heel ander karakter zal bijvoorbeeld zijn om het incident management proces binnen de organisatie ‘tegen het licht te houden’ en vervolgens te verbeteren, waarbij specifiek gekeken wordt naar de wijze waarop informatiebeveiliging hier een goede borging in krijgt. Gedurende de intervisie momenten werken de studenten naar een eindopdracht, waarin ze de verschillende uitgewerkte deelopdrachten tot een samenhangend geheel vormen en presenteren. Hierbij worden ze uitgedaagd om ook de communicatievaardigheden die tijdens de opleiding aan bod komen, toe te passen en te demonstreren, waarbij ook stakeholders informeren en overtuigen een rol speelt.
Meer weten over security beleid?
Wil je eens sparren met een security professional en kijken wat het voor jouw organisatie of je eigen ontwikkeling kan betekenen? Neem dan contact op met security professional Michael Pols. Lees ook over de case bij de Sociale Verzekeringsbank waar Michael een opdracht heeft gedaan.